Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Le SDK Facebook pour JavaScript est chargé depuis connect.facebook.net et permet d'intégrer les fonctionnalités Meta telles que Connexion Facebook, les boutons J'aime et Partager, les commentaires et le Pixel Meta. Il dépose des cookies de premier et tiers parti dont _fbp, _fbc, fr, datr, c_user et xs, déclenche des événements Pixel et transmet les données de navigation à Meta Platforms Ireland et Meta Platforms Inc aux États Unis. Conformément au RGPD et à la directive ePrivacy, un consentement préalable, libre, spécifique, éclairé et univoque est obligatoire avant tout chargement du SDK.
Le SDK Facebook pour JavaScript est une bibliothèque chargée depuis connect.facebook.net/{locale}/sdk.js qui permet d''intégrer les fonctionnalités Meta sur un site web. Il alimente la Connexion Facebook, les boutons J''aime et Partager, les publications intégrées, le plugin de commentaires, la boîte de dialogue Partager et le Pixel Meta. Une fois initialisé via FB.init(), le SDK communique avec facebook.com et graph.facebook.com, lit les cookies Meta existants et en écrit de nouveaux afin d''identifier les internautes, mesurer les conversions et constituer des audiences personnalisées.
Le SDK écrit un cookie de premier parti _fbp contenant l''identifiant navigateur du Pixel Meta et un cookie _fbc capturant l''attribution de clic via le paramètre fbclid. Si l''internaute est connecté à Facebook, les cookies tiers fr, datr, c_user et xs sont lus ou écrits sur le domaine facebook.com. Le script transmet également l''adresse IP, l''agent utilisateur, l''URL référente, l''URL de la page, le viewport, la langue et des données utilisateur hachées lorsque le matching avancé est activé. Ces informations constituent des données à caractère personnel au sens de l''art 4 du RGPD.
Pour les utilisateurs européens, le responsable de traitement est Meta Platforms Ireland Limited à Dublin, mais les données sont répliquées vers Meta Platforms Inc aux États Unis. Les transferts reposent sur le cadre transatlantique de protection des données adopté en juillet 2023 et sur les clauses contractuelles types complétées par des mesures supplémentaires. Le cadre demeure contesté à la suite de l''arrêt Schrems II, et la Data Protection Commission irlandaise a infligé en 2023 une amende de 1,2 milliard d''euros à Meta pour transferts illicites liés aux services Facebook.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La seule base légale valable pour déployer le SDK Facebook est le consentement explicite de l''utilisateur au titre de l''art 6(1)(a) du RGPD et de l''art 82 de la loi Informatique et Libertés transposant l''art 5(3) ePrivacy. Le script ne doit pas être chargé avant le recueil du consentement via une plateforme de gestion conforme. La CNIL a prononcé 60 millions d''euros d''amendes pour cookies déposés via Facebook sans consentement valable. Le refus doit être aussi simple que l''acceptation.
Le SDK Facebook présente un profil de risque élevé car il combine profilage, traitement à grande échelle, surveillance systématique et transferts hors UE. Une analyse d''impact relative à la protection des données est obligatoire en application de l''art 35 du RGPD. Le responsable de traitement doit documenter les catégories de données, les garanties mises en place telles que le Consent Mode v2 et le hachage côté serveur, les durées de conservation et les droits accordés aux personnes concernées.
Les opérateurs doivent intégrer le SDK Facebook uniquement après recueil du consentement, documenter les flux dans le registre des traitements au titre de l''art 30 du RGPD, mettre à jour la politique de confidentialité et la politique de cookies, configurer Consent Mode v2 si le Pixel est déployé via Google Tag Manager, privilégier l''intégration côté serveur via l''API Conversions et auditer périodiquement les cookies et requêtes sortantes vers facebook.com et graph.facebook.com.
Les sites web utilisant Facebook SDK doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d''impact relative à la protection des données est obligatoire au titre de l''art 35 du RGPD car le SDK Facebook permet une surveillance systématique des visiteurs, un profilage publicitaire, un traitement à grande échelle de données comportementales et des transferts vers les États Unis avec implications Schrems II. L''AIPD doit documenter la nécessité et la proportionnalité de l''intégration des scripts Meta, évaluer les risques liés aux cookies _fbp et _fbc combinés à l''enrichissement serveur via l''API Conversions, apprécier les garanties du cadre transatlantique de protection des données après la décision contraignante de l''EDPB de 2023 contre Meta, et définir des mesures d''atténuation incluant une CMP conforme, le Consent Mode v2, la troncature IP, le hachage côté serveur et une politique de conservation documentée.
Exemple de texte de consentement
Nous utilisons le SDK Facebook fourni par Meta Platforms Ireland Limited pour afficher la Connexion Facebook, les plugins sociaux et le Pixel Meta. Avec votre consentement, des cookies tels que _fbp, _fbc, fr et datr sont déposés sur votre terminal et des informations sur votre visite, dont votre adresse IP et les pages consultées, sont partagées avec Meta en Irlande et aux États Unis dans le cadre du Data Privacy Framework. Ces données servent à la mesure publicitaire, à la constitution d''audiences personnalisées et au profilage. Vous pouvez accepter, refuser ou retirer votre consentement à tout moment via nos préférences cookies.
Domaines tiers contactes
connect.facebook.netfacebook.comwww.facebook.comgraph.facebook.comstaticxx.facebook.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| _fbp | first_party | 90 days | Marketing. Facebook Pixel browser identifier used to track visits across sessions and attribute conversions. |
| _fbc | first_party | 90 days | Marketing. Stores the last click attribution identifier from the fbclid URL parameter for ad measurement. |
| fr | third_party | 90 days | Marketing. Used by Meta on facebook.com for ad targeting, frequency capping and personalisation. |
| datr | third_party | 2 years | Security and identification. Identifies the browser to prevent fraudulent activity on Meta services. |
| c_user | third_party | 90 days | Identity. Stores the Facebook user ID when the visitor is logged in. |
| xs | third_party | session | Identity. Stores the Facebook session identifier for authenticated users. |
Facebook SDK utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
Le SDK Facebook écrit le cookie de premier parti _fbp contenant l'identifiant navigateur du Pixel Meta avec une durée de vie de 90 jours et le cookie _fbc qui capture l'attribution de clic via le paramètre fbclid. Lorsque l'internaute est connecté à Facebook, le SDK lit ou écrit les cookies tiers fr (90 jours, publicité), datr (2 ans, sécurité et identification), c_user (90 jours, identité) et xs (session, identité) sur le domaine facebook.com. Tous ces cookies sont non essentiels et requièrent un consentement préalable.
Oui, le consentement est strictement obligatoire. Le SDK charge des scripts qui déposent des cookies et transmettent des données personnelles à Meta à des fins publicitaires, ce qui constitue un traitement non essentiel au sens de l'art 5(3) de la directive ePrivacy et de l'art 6(1)(a) du RGPD. Le script doit rester bloqué jusqu'à ce que l'utilisateur fournisse un consentement libre, spécifique, éclairé et univoque via une plateforme de gestion conforme. Le refus doit être aussi simple que l'acceptation.
La seule base légale valable est le consentement explicite de l'utilisateur au titre de l'art 6(1)(a) du RGPD. L'intérêt légitime ne peut être invoqué car le Comité européen de la protection des données a confirmé en 2023 que Meta ne peut s'appuyer sur l'intérêt légitime ou le contrat pour la publicité personnalisée. Les opérateurs doivent documenter la preuve de consentement, incluant horodatage, périmètre et version de la politique, et la fournir sur demande à l'autorité de contrôle.
Pour les utilisateurs européens, le responsable de traitement est Meta Platforms Ireland Limited à Dublin, mais les données sont répliquées vers Meta Platforms Inc aux États Unis. Les transferts reposent sur le Data Privacy Framework adopté en juillet 2023 et sur les clauses contractuelles types avec mesures supplémentaires. Le cadre reste contesté à la suite de l'arrêt Schrems II et la DPC irlandaise a sanctionné Meta de 1,2 milliard d'euros en 2023 pour transferts illicites. Une analyse d'impact des transferts est nécessaire.
Oui, une analyse d'impact relative à la protection des données est obligatoire au titre de l'art 35 du RGPD car le traitement implique une surveillance systématique, un profilage, un traitement à grande échelle et des transferts vers un pays tiers. L'AIPD doit décrire les flux de données, identifier les risques pour les personnes concernées, évaluer la nécessité et la proportionnalité du traitement et définir les mesures d'atténuation telles qu'une CMP conforme, l'intégration serveur via l'API Conversions et la troncature IP.
Déployez le SDK uniquement après recueil du consentement via une plateforme de gestion conforme à l'IAB TCF v2.2. Si le Pixel Meta est déployé via Google Tag Manager, configurez Consent Mode v2 avec les signaux ad_storage et ad_user_data. Privilégiez l'intégration serveur via l'API Conversions pour réduire l'exposition côté navigateur, appliquez la troncature IP et le hachage des identifiants côté serveur, et documentez l'ensemble dans le registre des activités de traitement au titre de l'art 30 du RGPD.
Les alternatives conformes incluent l'intégration serveur via l'API Conversions sans SDK navigateur, le suivi premier parti via une plateforme d'analytics respectueuse de la vie privée, des solutions de publicité contextuelle sans donnée personnelle, une authentification native via des fournisseurs OpenID Connect établis dans l'UE et l'affichage de contenus sociaux via des prévisualisations statiques au lieu d'iframes chargeant facebook.com. Chaque alternative réduit ou supprime la dépendance aux cookies Meta et aux transferts hors UE.
Listez chaque cookie déposé par le SDK avec son nom, sa finalité, sa durée et sa catégorie, identifiez Meta Platforms Ireland Limited et Meta Platforms Inc comme co responsables ou sous traitants le cas échéant, mentionnez le mécanisme de transfert (DPF et CCT), décrivez les droits des personnes incluant l'opposition et l'effacement, ajoutez un lien vers la politique de confidentialité de Meta et expliquez comment retirer le consentement. Révisez la politique au moins une fois par an ou à chaque mise à jour du SDK par Meta.